В разделе приведена краткая информация о продукте Quagga, описан конфигурационный файл и даны некоторые сведения об особенностях реализации RRI на шлюзе безопасности.
Краткое описание продукта Quagga
Продукт Quagga входит в комплект поставки ПК S-Terra Gate и инсталлирован на нем.
Quagga состоит из пакета программ, реализующих протоколы динамической маршрутизации, основанных на TCP/IP – RIPv1, RIPv2, OSPFv2, OSPFv3, BGPv4. Для работы со шлюзом безопасности будем использовать протокол RIPv2. Дальнейшее описание работы с Quagga касается только протокола RIPv2.
Quagga состоит из нескольких демонов, каждый из которых поддерживает свой протокол маршрутизации. Одновременно работать могут несколько разных демонов в сообществе с управляющим демоном zebra.
zebra – демон управления процессом маршрутизации. Он обеспечивает взаимодействие между демонами маршрутизации и операционной системой. Демоны маршрутизации получают/устанавливают записи из таблицы маршрутизации через zebra.
ripd – демон маршрутизации, поддерживающий работу протоколов RIPv1 (RFC1058), RIPv2 (RFC2453).
Каждый демон имеет свою консоль конфигурирования, доступную посредством протокола telnet:
zebra: telnet 127.0.0.1 2601
ripd: telnet 127.0.0.1 2602
Работа через консоль защищена паролем, который нужно задать в конфигурационном файле каждого из демонов (если пароль в конфигурационном файле не задан или конфигурационный файл отсутствует, то работа через консоль невозможна). Адрес и порт, по которым будут доступны демоны, задаются при запуске демонов (в нашем случае они соответствуют вышеуказанным, то есть извне недоступны).
Более подробную информацию о продукте и его настройке можно смотреть в Интернете (например, http://www.quagga.net/docs/quagga.html или http://www.opennet.ru/base/net/zebra_doc.txt.html).
Настройка Quagga для передачи маршрута посредством протокола RIPv2
Продукт Quagga поставляется без конфигурационных файлов.
Сначала необходимо создать конфигурационные файлы демонов zebra и ripd (zebra.conf и ripd.conf), разместив их в каталоге /etc/quagga/.
Примеры конфигурационных файлов демонов zebra.conf.sample и ripd.conf.sample размещены в каталоге /etc/quagga/.
Рекомендуемый шаблон конфигурационного файла для демона ripd
! -*- rip -*-
!
! RIPd template configuration file
!
hostname ripd
password <пароль для входа в консоль управления>
enable password <пароль для входа в привилегированный режим консоли управления>
!
!
router rip
version 2
redistribute kernel
network <имя сетевого интерфейса, на котором включается RIP>
!
! фильтрация исходящих и входящих пакетов RIP (маршрутов RIP) на
! интерфейсе при помощи списков доступа
!
distribute-list acl-in in
distribute-list acl-out out
!
!
access-list acl-in deny any
access-list acl-out permit <адреса, до которых интересны изменения маршрутов>
access-list acl-out deny any
!
Обратите внимание на команду access-list acl-in deny any - она запрещает получать информацию о маршрутах от других устройств, шлюз должен только передавать информацию о маршрутах другим сетевым устройствам.
В некоторых случаях access-list acl-out удобнее задавать так:
access-list acl-out deny <адреса, до которых не интересны изменения маршрутов>
access-list acl-out permit any
Рекомендуется настроить аутентификацию устройств, работающих по протоколу RIPv2 (см. документацию на Quagga).
Измените статус запуска демонов в /etc/quagga/daemons. Опции zebra и ripd нужно изменить на yes.
Необходимо запустить демон:
/etc/init.d/quagga start
Для автоматического старта демона при перезагрузке ОС выполните команду:
update-rc.d quagga enable